Tutorial: Ampliación de la gobernanza a la corrección de puntos de conexión

Nota

Hemos cambiado el nombre de Microsoft Cloud App Security. Ahora se llama Microsoft Defender for Cloud Apps. En las próximas semanas, actualizaremos las capturas de pantalla e instrucciones aquí y en las páginas relacionadas. Para obtener más información sobre el cambio, consulte este anuncio. Para obtener más información sobre el cambio de nombre reciente de los servicios de seguridad de Microsoft, consulte el blog seguridad de Microsoft Ignite.

Defender for Cloud Aplicaciones proporciona opciones de gobernanza predefinidas para las directivas, como suspender un usuario o hacer que un archivo sea privado. Mediante la integración nativa con Microsoft Power Automate, puede usar un amplio ecosistema de conectores de software como servicio (SaaS) para compilar flujos de trabajo con el fin de automatizar procesos, incluida la corrección.

Por ejemplo, al detectar una posible amenaza de malware, puede usar flujos de trabajo para iniciar acciones de corrección de Microsoft Defender for Endpoint, como ejecutar un examen antivirus o aislar un punto de conexión.

En este tutorial obtendrá información sobre cómo configurar una acción de gobernanza de directivas para usar un flujo de trabajo que ejecute un examen antivirus en un punto de conexión donde un usuario muestre signos de comportamiento sospechoso:

Nota

Estos flujos de trabajo solo son pertinentes para directivas que contengan actividad de usuarios. Por ejemplo, no puede usar estos flujos de trabajo con directivas de detección o de OAuth.

Si no tiene un plan de Power Automate, regístrese para obtener una cuenta de evaluación gratuita.

Requisitos previos

  • Debe tener un plan de Microsoft Power Automate válido.
  • Debe tener un plan válido de Microsoft Defender for Endpoint.
  • El entorno de Power Automate debe estar sincronizado con Azure AD, supervisado por Defender for Endpoint y unido a un dominio.

Fase 1: Generación de un token de API de Defender for Cloud Apps

Nota

Si anteriormente ha creado un flujo de trabajo mediante un conector de Defender for Cloud Apps, Power Automate reutiliza automáticamente el token y puede omitir este paso.

  1. En Defender for Cloud Aplicaciones, en la barra de menús, haga clic en el engranaje settings icon. de configuración y seleccione Extensiones de seguridad.

  2. En la página Extensiones de seguridad, haga clic en el botón del signo más para generar un nuevo token de la API.

  3. En el elemento emergente Generar nuevo token, escriba el nombre del token (por ejemplo, "Flow-token") y haga clic en Generar.

    Screenshot of the token window, showing the name entry and generate button.

  4. Una vez generado el token, haga clic en el icono de copia situado a la derecha del token generado y luego en Cerrar. Va a necesitar el token más adelante.

    Screenshot of the token window, showing the token and the copy process.

Fase 2: Creación de un flujo para ejecutar un examen antivirus

Nota

Si ha creado anteriormente un flujo con un conector de Defender for Endpoint, Power Automate vuelve a usar el conector automáticamente y se puede omitir el paso de inicio de sesión.

  1. Vaya al portal de Power Automate y seleccione Plantillas.

    Screenshot of the main Power Automate page, showing the selection of templates.

  2. Busque Cloud App Security y seleccione Ejecutar examen antivirus mediante Windows Defender una alerta de aplicaciones de Defender for Cloud.

    Screenshot of the templates Power Automate page, showing the search results.

  3. En la lista de aplicaciones, en la fila en la que aparece Microsoft Defender for Endpoint connector (Conector de Microsoft Defender for Endpoint), haga clic en Iniciar sesión.

    Screenshot of the templates Power Automate page, showing the sign-in process.

Fase 3: Configuración del flujo

Nota

Si ha creado anteriormente un flujo con un conector de Azure AD, Power Automate vuelve a usar el token automáticamente y se puede omitir este paso.

  1. En la lista de aplicaciones, en la fila en la que aparece Defender for Cloud Aplicaciones, haga clic en Crear.

    Screenshot of the templates Power Automate page, showing the Defender for Cloud Apps create button.

  2. En la ventana emergente Defender for Cloud Aplicaciones, escriba el nombre de conexión (por ejemplo, "Defender for Cloud Token de aplicaciones"), pegue el token de API que copió y, a continuación, haga clic en Crear.

    Screenshot of the Defender for Cloud Apps window, showing the name and key entry and create button.

  3. En la lista de aplicaciones, en la fila en la que aparece HTTP con Azure AD, haga clic en Iniciar sesión.

  4. En el elemento emergente HTTP con Azure AD, en los campos Dirección URL del recurso base y URI de recurso de Azure AD, escriba https://graph.microsoft.com, haga clic en Iniciar sesión y escriba las credenciales de administrador que quiere usar con el conector HTTP con Azure AD.

    Screenshot of the HTTP with Azure AD window, showing the Resource fields and sign-in button.

  5. Haga clic en Continuar.

    Screenshot of the templates Power Automate window, showing the completed actions and continue button.

  6. Una vez que todos los conectores estén conectados correctamente, en la página del flujo, en Apply to each device (Aplicar a cada dispositivo), puede modificar el comentario y el tipo de examen y hacer clic en Guardar.

    Screenshot of the flow page, showing the scan setting section.

Fase 4: Configuración de la directiva que ejecutará el flujo

  1. En Defender for Cloud Aplicaciones, haga clic en Controly, a continuación, haga clic en Directivas.

  2. En la lista de directivas, en la fila donde se muestre una directiva pertinente, seleccione el signo de tres puntos al final de la fila y, después, haga clic en Editar directiva.

  3. En Alertas, seleccione Enviar alertas a Flow y, a continuación, seleccione Ejecutar examen antivirus mediante Windows Defender en una alerta de Defender for Cloud Aplicaciones.

    Screenshot of the policy page, showing the alerts settings section.

Ahora todas las alertas generadas para esta directiva iniciarán el flujo para ejecutar el examen antivirus.

Puede usar los pasos de este tutorial para crear una amplia gama de acciones basadas en flujos de trabajo para ampliar las funcionalidades de corrección de Defender for Cloud Apps, incluidas otras acciones de Defender para punto de conexión. Para ver una lista de flujos de trabajo predefinidos de Defender for Cloud Apps, en Power Automate, busque "Cloud App Security".

Consulte también